Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OneFlow-Inc. Oneflow v0.9.1 (CVE-2024-36740)
Fecha de publicación:
06/06/2024
Idioma:
Español
Un problema en OneFlow-Inc. Oneflow v0.9.1 permite a los atacantes provocar una denegación de servicio (DoS) cuando el índice como número negativo excede el rango de tamaño.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/05/2025

Vulnerabilidad en Evmos (CVE-2024-37153)
Fecha de publicación:
06/06/2024
Idioma:
Español
Evmos es el centro de máquinas virtuales Ethereum (EVM) en Cosmos Network. Existe un problema con la forma de realizar apuestas líquidas utilizando Safe, que en sí mismo es un contrato. El error solo aparece cuando hay un cambio de estado local junto con una transferencia ICS20 en la misma función y usa el saldo del contrato, es decir, usa la dirección del contrato como parámetro del remitente en una transferencia ICS20 usando la precompilación ICS20. Este es, en esencia, el "fallo del dinero infinito" que permite a los contratos duplicar el suministro de Evmos después de cada transacción. El problema se ha solucionado en las versiones >=V18.1.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2024

Vulnerabilidad en Evmos (CVE-2024-37154)
Fecha de publicación:
06/06/2024
Idioma:
Español
Evmos es el centro de máquinas virtuales Ethereum (EVM) en Cosmos Network. Los usuarios pueden delegar tokens que aún no han sido adquiridos. Esto afecta a los empleados y beneficiarios que tienen fondos administrados a través de "ClawbackVestingAccount". Esto afecta a 18.1.0 y versiones anteriores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2024

Vulnerabilidad en Ariane Allegro Scenario Player (CVE-2024-37364)
Fecha de publicación:
06/06/2024
Idioma:
Español
Ariane Allegro Scenario Player hasta el 5 de marzo de 2024, cuando se utiliza el modo kiosk Ariane Duo, permite a los atacantes físicamente próximos obtener información confidencial (como el contenido de la factura del hotel con PII) y potencialmente crear llaves de habitaciones no autorizadas ingresando un carácter de cotización de búsqueda de invitados y luego accediendo al sistema operativo Windows subyacente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en OneFlow-Inc. Oneflow v0.9.1 (CVE-2024-36730)
Fecha de publicación:
06/06/2024
Idioma:
Español
Validación de entrada incorrecta en OneFlow-Inc. Oneflow v0.9.1 permite a los atacantes provocar una denegación de servicio (DoS) ingresando valores negativos en el parámetro oneflow.zeros/ones.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/03/2025

Vulnerabilidad en OneFlow-Inc. Oneflow v0.9.1 (CVE-2024-36732)
Fecha de publicación:
06/06/2024
Idioma:
Español
Un problema en OneFlow-Inc. Oneflow v0.9.1 permite a los atacantes provocar una denegación de servicio (DoS) cuando se procesa una matriz vacía con oneflow.tensordot.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/05/2025

Vulnerabilidad en Kofax Power PDF (CVE-2024-30373)
Fecha de publicación:
06/06/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos JPF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JPF. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22092.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2024

Vulnerabilidad en Evmos (CVE-2024-32873)
Fecha de publicación:
06/06/2024
Idioma:
Español
Evmos es el centro de máquinas virtuales Ethereum (EVM) en Cosmos Network. El saldo gastable no se actualiza correctamente al delegar tokens adquiridos. El problema permite que una cuenta de recuperación de derechos anticipe la liberación de tokens no adquiridos. Esta vulnerabilidad se solucionó en 18.0.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2024

Vulnerabilidad en parisneo/lollms-webui (CVE-2024-2548)
Fecha de publicación:
06/06/2024
Idioma:
Español
Existe una vulnerabilidad de path traversal en la aplicación parisneo/lollms-webui, específicamente dentro de los archivos `lollms_core/lollms/server/endpoints/lollms_binding_files_server.py` y `lollms_core/lollms/security.py`. Debido a la validación inadecuada de las rutas de los archivos entre los entornos Windows y Linux utilizando `Path(path).is_absolute()`, los atacantes pueden aprovechar esta falla para leer cualquier archivo en el sistema. Este problema afecta a la última versión de LoLLM que se ejecuta en la plataforma Windows. La vulnerabilidad se activa cuando un atacante envía una solicitud especialmente manipulada al endpoint `/user_infos/{path:path}`, permitiendo la lectura de archivos arbitrarios, como se demuestra con el archivo `win.ini`. El problema se solucionó en la versión 9.5 del software.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/10/2024

Vulnerabilidad en parisneo/lollms-webui (CVE-2024-2624)
Fecha de publicación:
06/06/2024
Idioma:
Español
Existe una vulnerabilidad de path traversal y carga de archivos arbitrarios en la aplicación parisneo/lollms-webui, específicamente dentro del endpoint `@router.get("/switch_personal_path")` en `./lollms-webui/lollms_core/lollms/server/endpoints/ lollms_user.py`. La vulnerabilidad surge debido a una sanitización insuficiente de la entrada proporcionada por el usuario para el parámetro "ruta", lo que permite a un atacante especificar rutas arbitrarias del sistema de archivos. Esta falla permite la carga directa de archivos arbitrarios, la fuga de `personal_data` y la sobrescritura de configuraciones en `lollms-webui`->`configs` al explotar el mismo directorio con el mismo nombre en `personal_data`. El problema afecta a la última versión de la aplicación y se solucionó en la versión 9.4. Una explotación exitosa podría conducir a la divulgación de información confidencial, cargas de archivos no autorizadas y ejecución potencialmente remota de código al sobrescribir archivos de configuración críticos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/10/2024

Vulnerabilidad en mlflow/mlflow (CVE-2024-2928)
Fecha de publicación:
06/06/2024
Idioma:
Español
Se identificó una vulnerabilidad de inclusión de archivos locales (LFI) en mlflow/mlflow, específicamente en la versión 2.9.2, que se solucionó en la versión 2.11.3. Esta vulnerabilidad surge de la falla de la aplicación al validar adecuadamente los fragmentos de URI para secuencias de directory traversal como '../'. Un atacante puede aprovechar esta falla manipulando la parte del fragmento del URI para leer archivos arbitrarios en el sistema de archivos local, incluidos archivos confidenciales como '/etc/passwd'. La vulnerabilidad es una omisión de un parche anterior que solo abordaba una manipulación similar dentro de la cadena de consulta del URI, destacando la necesidad de una validación integral de todas las partes de un URI para prevenir ataques LFI.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/10/2024

Vulnerabilidad en Python (CVE-2024-2965)
Fecha de publicación:
06/06/2024
Idioma:
Español
Existe una vulnerabilidad de denegación de servicio (DoS) en la clase `SitemapLoader` del repositorio `langchain-ai/langchain`, que afecta a todas las versiones. El método `parse_sitemap`, responsable de analizar mapas de sitio y extraer URL, carece de un mecanismo para evitar la recursividad infinita cuando la URL de un mapa de sitio hace referencia al propio mapa de sitio actual. Este descuido permite la posibilidad de que se produzca un bucle infinito, lo que provocará un bloqueo al exceder la profundidad máxima de recursividad en Python. Esta vulnerabilidad se puede aprovechar para ocupar recursos de puerto/socket del servidor y bloquear el proceso de Python, lo que afecta la disponibilidad de los servicios que dependen de esta funcionalidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2024
Suscribirse a Vulnerabilidades